O Google, juntamente com duas empresas de segurança cibernética, estão alertando os usuários do iPhone sobre uma nova exploração que pode roubar dados – tudo isso apenas visitando um site no dispositivo iOS de um usuário.
DarkSword é um novo kit de ferramentas de hacking implantado por malfeitores em escala global. Os relatórios do Google Threat Intelligence Group e das empresas de segurança cibernética Lookout e iVerify detalharam múltiplas vulnerabilidades usadas para realizar ataques contra dispositivos iOS executando as versões 18.4 a 18.7.
De acordo com o próprio site de desenvolvedores da Apple, quase 25 por cento de todos os iPhones ainda estão em alguma versão do iOS 18. Wired aponta que isso significa que existem potencialmente centenas de milhões de dispositivos iOS suscetíveis ao DarkSword.
O que torna DarkSword tão preocupante? Ao contrário da maioria dos malwares, o DarkSword não precisa ser instalado no dispositivo do alvo. A vítima simplesmente precisa visitar um site infectado. A partir daí, DarkSword rouba dados pessoais ou financeiros. E diferentemente da maioria dos spywares, o DarkSword não está sendo usado para espionagem de longo prazo.
“Ao contrário de muitos outros casos relatados anteriormente de ataques sofisticados a dispositivos móveis, o DarkSword não foi projetado para vigilância contínua”, escreve a Lookout em seu relatório. “Assim que terminar de coletar e exfiltrar os dados direcionados, ele exclui os arquivos criados no sistema de arquivos do dispositivo e sai. Seu tempo de permanência no dispositivo é provavelmente na faixa de minutos, dependendo da quantidade de dados que ele descobre e exfiltra.”
Velocidade da luz mashável
Os hackers que utilizam o DarkSword conseguem o que desejam da vítima em um curto período. Depois que um dispositivo infectado é reiniciado, o spyware fica quase indetectável no dispositivo.
VEJA TAMBÉM:
Hackers ligados ao Irã lançam ataque cibernético contra a empresa americana de tecnologia médica Stryker
DarkSword pode ser usado para desviar todos os tipos de dados pessoais de um dispositivo iOS para um ator nefasto. Registros de chamadas, contatos, calendários, notas, fotos, capturas de tela, histórico de localização, histórico do navegador da web, identidades de contas conectadas, chaveiros de dispositivos, informações do cartão SIM, configurações do Find My Phone, senhas de WiFi, conteúdo do iCloud e muito mais podem ser enviados ao ator da ameaça por meio deste ataque. Dados do iMessage, e-mail, dados do WhatsApp, dados do Telegram e até mesmo credenciais de carteira de criptomoeda também podem ser roubados.
Outro aspecto perturbador do DarkSword é a limpeza posterior da cena do crime cibernético. Não há nenhum. Os hackers que utilizaram o DarkSword deixaram o código para qualquer pessoa acessar e implantar. Além disso, parece que esses hackers não estão preocupados com a sua descoberta, resultando no encerramento da exploração, o que significa que provavelmente estão confiantes de que ataques novos e semelhantes podem ser replicados com novas ferramentas.
O relatório do Google detalha alguns ataques específicos realizados pelo DarkSword. Por exemplo, um incidente ocorrido em novembro teve como alvo usuários da Arábia Saudita por meio de um site com tema Snapchat chamado Snapshare. O site encaminhou os visitantes para um site legítimo do Snapchat enquanto infectava o dispositivo, a fim de ocultar a atividade nefasta.
Em ataques mais recentes realizados neste mês, um grupo de hackers com suspeitas de ligações com o governo russo, conhecido como UNC6353, implantou o DarkSword para atingir usuários de iPhone na Ucrânia. O grupo conseguiu de alguma forma comprometer sites legítimos de notícias ucranianos e sites oficiais do governo para atingir as suas vítimas.
Acredita-se que esse agente de ameaça também esteja por trás de uma exploração semelhante, anteriormente descoberta, conhecida como Coruna, no início deste ano. Esse kit de ferramentas de hacking tinha como alvo dispositivos iOS ainda mais antigos que ainda usavam as versões 13 a 17 do iOS.
